OpenVPN Connection nicht mehr möglich (nach Zertifikat Erneuerung)

[galdak]

Hi

Auf meiner DS216+II läuft der VPN Server (openvpn) seit über 3 Jahren erfolgreich. Als Sicherheit dient noch ein Let's Encrypt Zertifikat.
Nun wurde diese Woche das Zertifikat erneuert. Seitdem kriege ich keine VPN Verbindung mehr zur DS via openvpn.

Eine wiederholte Erneuerung des Zertifikats hat nichts gebracht.

openvpn log auf der DS:

TLS: new session incoming connection from [AF_INET6]::xxxx:xx.xxx.xx.xxx:yyyy
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
SYNO_ERR_CERT
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting
MULTI: multi_create_instance called
Re-using SSL/TLS context
LZO compression initialized
Control Channel MTU parms [ ... ]
Data Channel MTU parms [ ...]
Local Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Expected Remote Options String: 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'

Auf dem Client wird folgendes ausgegeben:

TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:yyyy
UDP link local (bound): [AF_INET][undef]:yyyy
UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:yyyy
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_ACK_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_CONTROL_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_ACK_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_CONTROL_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_ACK_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_CONTROL_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_CONTROL_V1)
TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.xxx.xxx:yyyy (si=3 op=P_ACK_V1)
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
VERIFY ERROR: depth=1, error=unable to get local issuer certificate: C=US, O=Let's Encrypt, CN=R3
OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, process restarting
SIGTERM[hard,init_instance] received, process exiting

Ausser der Aktualisierung hat sich in der Zwischenzeit nichts geändert. Letzter Zugriff war am 4. Mai (ca. 2 Uhr nachts), ab 5 Mai war der Zugriff nicht mehr möglich.

Folgende Punkte sind mir noch aufgefallen:

• Zertifikat neu: Let's Encrypt R3, früher mal: Let's Encrypt X3
• die dh****.pem Datei hat mir gefehlt im definierten Verzeichnis --> aber keine Ahnung seit wann. Hat ja immer funktioniert.

Ich habe aber mal die neuen Einstellungen für den Client exportiert. Aber das hat auch nichts gebracht.

Hat jemand dasselbe Problem? Oder noch besser: hat jemand Inputs oder gar die Lösung?

 

[galdak]

Also... Wenn ich Clients aktualisiere (neue ovpn-Profil mit neuen Zertifikaten), dann kann ich die Verbindung zum VPN Server wiederherstellen.

Mein Problem ist aber: wie kann ich das in Zukunft verhindern, dass ich wieder alle Clients updaten muss, wenn das Zertifikat ändert?
Hat das nun mit dem Wechsel auf Let's Encrypt mit Aussteller R3 zu tun? Dann würde ich davon ausgehen, dass ein solcher Wechsel nicht alle 3 Monate vorkommt und könnte das so stehen lassen.

Wenn das nun aber alle 3 Monate passiert, muss ich neue Wege suchen. Weiss jemand was?

Noch was: ist es möglich, dass ich auf der Synology die VPN Config mit dem alten Zertifikat wiederherstellen kann? Oder die Zertifikatsprüfung irgendwie ausschalten kann? So könnte ich meine Remote-Clients bei der nächsten Verbindung aktualisieren und muss die Geräte nicht physisch herholen und aktualisieren.

Danke für eure Inputs.

 

[galdak]

Habe die Ursache für mein Problem wohl gefunden.
Ursprünglich wurde mein LE Zertifikat bis 2021 ausgestellt:


Und ja nun... der Termin ist durch. Daher hat's beim nächsten Aktualisieren bei Let's Encrypt neue Zertifikate gelöst.
Daher muss ich wohl oder übel die Clients updaten.

 

[tproko]

wie kann ich das in Zukunft verhindern,

Hi, kleiner Input noch von mir, wenn du es jetzt nochmals angreifst würde ich das inklusiver Client-Certs lösen!
Syno bietet ja nur Server-Cert + User + Passwort an.

Ich habe als 2. Faktor je Benutzer noch ein Client Cert. Noch besser wäre wohl je Gerät ein Cert, aber das war es mir dann nicht wert, da wir "nur" 2 Benutzer mit je 2 Geräten haben (also 4 Geräte).

Anleitung inkl. weiterem Post, wie dann die Clients eingerichtet werden: https://community.synology.com/enu/forum/17/post/116504

Vorteile: du hast ein Certifikat, wo du die Gültigkeit selbst bestimmst - da von dir selbst erstellt.
Du hast einen 2. Faktor für OpenVPN Authentifizierung. Ohne Client Cert geht einfach gar keine Verbindung.
Ans Server Cert kommt man ja einfach, wenn man die IP oder ddns kennt (zB. via openssl).